Effiziente Unterstützung für Interne Kontrollsysteme mittels einer GRC Software Plattform

Effiziente Unterstützung für Interne Kontrollsysteme mittels einer GRC Software Plattform Erfolgsrezept in einem zunehmend regulierten Wirtschaftsumfeld Martin Kling Solution Manager, IDS Scheer AG White Paper Juli 2010 InhAlt Martin Kling ExtErnE KomplExität trEibt intErnE KomplExität 3 HErausfordErungEn bEi dEr umsEtzung intErnEr KontrollsystEmE 4 intEgration von risiKomanagEmEnt und intErnEr KontrollE 5 von dEr projEKtgEtriEbEnEn zur prozEssgEstEuErtEn ComplianCE 6 Einsatz EinEr gEnErisCHEn, prozEssoriEntiErtEn grC plattform zur EffiziEnzstEigErung 6 Erfassung und doKumEntation (modElliErung) dEr ElEmEntE EinEs intErnEn KontrollsystEms (iKs) 8 implEmEntiErung EinEs struKturiErtEn vErsionsmanagEmEnts (rElEasE CyClE managEmEnt) 10 implEmEntiErung dEs intErnEn assEssmEntprozEssEs inKlusivE dEs issuE & dEfiCiEnCy managEmEnts 11 ist Solution Manager für rEgElmässigEs bEwErtEn dEr risiKosituation und ErfassEn von die ARIS Solution for vErlustEn und vorfällEn 13 Governance, Risk & naCHwEis dEr wirKsamKEit dEs intErnEn KontrollsystEms, dEs Compliance (GRC) bei risiKomanagEmEnts und dEr intErnEn rEvision gEgEnübEr IDS Scheer AG, München. ExtErnEn auditorEn 13 analysE und auswErtung dEr aKtivitätEn innErHalb dEs intErnEn KontrollsystEms 14 KontinuiErliCHE übErwaCHung von KontrollEn (Continuous Controls monitoring) 15 ausbliCK: automatisiErung dEr abläufE und datEnsammlung 16 zusammEnfassung 18 Governance, Risk & Compliance Management (GRC) steht für die interne und externe Erfüllung gesetzlicher oder normativer Ansprüche an ein Unternehmen. Es umfasst die Identifizierung der von Risiken betroffe- nen Prozesse, die Risikobewertung, die Implementierung eines internen Kontrollsystems und die Überwachung der Wirksamkeit der Kontrollen. Die prozessorientierte ARIS Solution for Governance, Risk & Compliance Management ermöglicht die flexible Einführung und den effizienten Betrieb eines unternehmensweiten Compliance- und Risiko-Manage- ment-Systems. W H I T E PA P E R | G R C S o f T WA R E P l AT T f o R m 2 ExtERnE KomPlExItät tREIbt IntERnE KomPlExItät unternehmen sehen sich heute mit einem ständig wachsenden netz von anforderungen Hier lesen Sie: bezüglich der implementierung interner Kontrollsysteme konfrontiert. selbst ein kleineres oder • warum prozessorientierte mittelgroßes unternehmen muss heute anforderungen aus mehr als hundert unterschiedlichen software-lösungen wie die gesetzen und verordnungen beachten. gleichzeitig werden die anforderungen an den nachweis aris solution for grC die der umsetzung und befolgung dieser regularien immer schärfer. sektion 404 des sarbanes oxley Einführung und den betrieb eines unternehmensweiten acts ist hierfür ein plakatives beispiel. im vergleich mit den dort formulierten anforderungen an Compliance-management- die ausgestaltung des internen Kontrollsystems zur sicherstellung einer korrekten bilanz systems ermöglichen. kommen einem die audit-aufwendungen für eine klassische din/iso 9001 ff-zertifizierung einfach vor. über die zeit haben sich zwar die anforderungen durch die sEC in der praxis etwas • warum es sinnvoll ist, das entschärft, dafür haben aber andere aufsichtsgremien Elemente aus dem sox-regelwerk risikomanagement eng mit übernommen. dem internen Kontrollsystem zu verzahnen. so werden auch in der Europäischen union mit der Einführung der 8. Eu-richtlinie (abschluss- • welche optimierungsansätze prüferrichtlinie) höhere maßstäbe an das interne Kontrollsystem angelegt, d.h. die anforderun- es für Compliance manage- gen an die richtigkeit der veröffentlichten unternehmensberichte werden verschärft. zwar richtet ment gibt und warum dies sich die direktive vorrangig an wirtschaftsprüfer und ihre aufsicht, die nationale umsetzung (z.b. eine facette von geschäfts- prozessmanagement ist. bilmog in deutschland) erwartet aber heute in ganz Europa aussagen über die wirksamkeit des internen Kontrollsystems, des risikomanagementsystems und der internen revision. • wie die kontinuierliche überwachung von Kontrollen die Einhaltung dieser gesetze, z.b. des sarbanes oxley acts ist für die betroffenen unter- pragmatisch umgesetzt nehmungen elementar, da bei nichtbefolgung neben dem imageschaden z.t. drastische werden kann, um aufwände Konsequenzen wie geldstrafen und die persönliche Haftung der geschäftsführer (privatver- zu reduzieren. mögen) stehen, für die auch strafrechtliche Konsequenzen folgen können. selbst der reine • welche analyse- und verdacht straft unternehmen oft ab und kann zu erheblichen wertverlusten führen, wie der fall auswertungsmöglichkeiten der gildemeister ag im januar 2008 gezeigt hat: 30% Kurseinbruch nach bekanntgabe eines es gibt. Ermittlungsverfahrens mit dem verdacht der steuerhinterziehung und Korruption. festzuhalten ist, dass sich der verdacht bis heute nicht bestätigt hat. Abbildung 1: Beispiele für aktuelle und zukünftige Regularien nach Gartner W H I T E PA P E R | G R C S o f T WA R E P l AT T f o R m 3 gleichzeitig steigen die aufwendungen in einem unternehmen durch die schiere Komplexität der anforderungen exponentiell. auf einen typischen geschäftsprozess wirken heute ein gutes dutzend unterschiedlicher regularien ein, die Koordination von audits oder mitigierenden maßnahmen wird immer unüberschaubarer. mit der wachsenden Komplexität steigt aber auch das risiko für ein unternehmen, kleine abweichungen werden wahrscheinlicher und können heute gravierende Einbußen durch strafzahlungen oder image-verluste mit sich bringen. um „gerichtsfest“ zu sein, muss eine organisation in der lage sein, regelmäßig den nachweis zu erbringen, dass im falle einer abweichung kein organisationsverschulden vorliegt. dies dient einer Exkulpation der leitungsorgane und mitarbeiter und grenzt möglichen imageschaden ein. die aufwendungen dafür steigen kontinuierlich an. HERaUSfoRdERUnGEn bEI dER UmSEtzUnG IntERnER KontRollSyStEmE die Herausforderungen, vor denen die unternehmen bei der ausgestaltung ihrer internen Kontrollsysteme heute stehen, lassen sich in vier bereiche fassen: integration, transparenz, Konsistenz und balance. die schiere anzahl der einzelnen regularien, die ein unternehmen einhalten muss und die daraus resultierenden aufwände für dokumentation, internes assessment und berichterstattung fordern zwingend ansätze und vorgehensweisen zu vereinheitlichen und die verschiedenen Compliance-programme in eine einheitliche methodik zu integrieren. integration steht für reduktion der aufwände, Konzentration auf die wesentlichen aspekte und Effizienz. Abbildung 2: Erfolgreiches GRC Management bedeutet die Balance zu halten W H I T E PA P E R | G R C S o f T WA R E P l AT T f o R m 4 viele unternehmen wissen gar nicht, welche anstrengungen und Ergebnisse sie in den verschie- denen Compliance-bereichen erbracht haben. nicht zuletzt deshalb müssen oft statements nach außen korrigiert oder wieder zurückgenommen werden. transparenz ist ein wesentliches Erfolgs-Kriterium bei der strukturierung und unterstützung interner Kontrollsysteme. Konsistenz scheint einfach zu sein, ist es aber nicht: die interne revision kämpft täglich mit sich widersprechenden berichten aus internen assessments, die mit den Erkenntnissen des risiko- managements und den eigenen audits nicht zusammen passen. oft sind es nur Kleinigkeiten, die aber enorme reibungsverluste und folgeaufwände mit sich bringen.